重點摘要:
- Starkware 首席產品官 Avihu Levy 於 2026 年 4 月 9 日發布 QSB,實現了無需任何協議變更的抗量子比特幣交易。
- Levy 的方案每筆交易需要 75 至 150 美元的 GPU 運算成本,實現了約 118 位元的抗量子攻擊原像抵抗能力。
- QSB 是首個已知僅使用 Bitcoin 現有傳統 Script 規則就能保護即時比特幣交易免受 Shor 演算法攻擊的方案。
Starkware 高層如何在不觸及協議的情況下為 Bitcoin 建立量子抵抗能力
Starkware 首席產品官兼 BIP-360 共同作者 Avihu Levy 於 2026 年 4 月 9 日發布了完整的研究論文和開源實作。該方案稱為 Quantum Safe Bitcoin,簡稱 QSB。它不需要軟分叉、不需要社群協調,也不需要新的操作碼。它完全在 Bitcoin 現有的傳統 Script 限制(201 個操作碼和 10,000 位元組)內運行。
QSB 解決的威脅是明確的。Bitcoin 的主要簽章方案,基於 secp256k1 橢圓曲線的 ECDSA,在足夠強大的量子電腦上完全可被 Shor 演算法破解。具備該能力的攻擊者可以從任何暴露的公鑰中恢復私鑰、偽造簽章並重新導向資金。P2PK 輸出、傳統地址和 Taproot 金鑰花費路徑在公鑰出現在鏈上的那一刻都面臨風險。
圖片來源: X。Levy 的方案在交易層面切斷了這種依賴。QSB 不依賴橢圓曲線的困難度,而是將安全性建立在 RIPEMD-160 的原像抵抗能力上,這是一種雜湊函數,量子電腦只能使用 Grover 演算法攻擊它,該演算法提供的是二次加速而非完全破解。160 位元雜湊對抗量子攻擊者保留了約 80 位元的原像抵抗能力,留下了舒適的安全邊際。
該構造修改了由 Robin Linus 開發的早期方案 Binohash,並修復了兩個使 Binohash 無法抵抗量子攻擊的問題。第一個是依賴於尋找小橢圓曲線 r 值的簽章大小工作量證明(PoW)謎題,這是 Shor 演算法可以輕易破解的。第二個是未解決的 sighash 旗標漏洞,可能允許攻擊者在不同交易中重複使用有效的謎題簽章。
替換簽章大小謎題
QSB 用 Levy 所稱的雜湊到簽章謎題替換了簽章大小謎題。支付者迭代交易參數,直到交易衍生公鑰的 RIPEMD-160 雜湊產生有效的 DER 編碼 ECDSA 簽章。該事件發生的機率約為七十兆分之一。由於謎題使用硬編碼的 SIGHASH_ALL 旗標,sighash 漏洞作為副作用被消除了。
然後支付者使用 HORS 風格的 Lamport 簽章結構運行兩輪摘要,選擇虛擬簽章的子集,透過稱為 FindAndDelete 的傳統 Script 機制改變交易的 sighash。每個子集產生不同的雜湊輸出。產生有效 DER 編碼簽章的子集成為該輪的摘要。在見證中揭示相應的原像完成了抗量子支付。
Levy 稱為 Config A 的推薦配置符合 201 個操作碼的限制,實現了約 118 位元的原像抵抗能力和 78 位元的碰撞抵抗能力。對此配置運行 Grover 演算法的量子攻擊者面對第二原像攻擊需要大約 2 的 69 次方的工作量。Shor 演算法完全沒有優勢,因為沒有橢圓曲線假設可供破解。
按當前現貨定價,鏈下運算每筆交易需要 75 至 150 美元的雲端 GPU 時間成本。該工作高度並行,在早期測試中跨多個 GPU 在數小時內完成。GPU 農場僅處理公開運算,包括金鑰恢復和雜湊。私有 HORS 原像永遠不會離開支付者的安全設備。
存在實際限制。QSB 交易在共識上有效但非標準,超出了預設中繼政策。它們需要直接提交給接受非標準交易的礦池,例如透過 Marathon 的 Slipstream 服務。該方案尚未覆蓋閃電網路通道。完整的鏈上組裝和廣播在開源實作中仍待完成。Levy 將該方案描述為最後手段,而非標準 Bitcoin 使用的一般替代方案。
Starkware 聯合創辦人 Eli Ben-Sasson 公開支持這項工作,表示 Bitcoin 可以立即實現抗量子安全。他說:
Levy 在 X 上分享了論文和程式庫,並感謝 Robin Linus 在 Binohash 上的基礎工作以及塑造最終成本安全權衡的關鍵修正。社群對白皮書相當滿意,因為它在社交媒體上被廣泛分享。Taproot Wizard Eric Wall 在 X 上寫道:
完整論文、GPU 加速 CUDA 程式碼、Python 管道和完整的 Bitcoin Scripts 可在 Levy 的 GitHub 程式庫中取得。這則新聞緊接著最近旨在保護比特幣錢包免受量子風險的原型。該特定原型由 Lightning Labs 技術長 Olaoluwa Osuntokun 創建。
這對日常 Bitcoin 持有者意味著什麼
對於日常比特幣(BTC)持有者來說,實際結論很簡單。目前不存在能夠破解 Bitcoin 加密技術的量子電腦,大多數研究人員將該威脅至少定在三年到十年之後。但時鐘從公鑰出現在鏈上的那一刻開始計時,這在使用者每次從地址支付時都會發生。
從未進行過外發交易的錢包中的 Bitcoin 暴露較少。停放在已重複使用或已支付地址的 Bitcoin 則是另一回事。當量子運算達到臨界點時,那些暴露的公鑰將成為目標。在該時間窗口關閉之前轉移資金比之後轉移更重要。
QSB 尚未內建於任何消費者錢包中。使用者今天無法打開標準錢包並切換抗量子設定。Levy 所交付的是加密證明,證明該路徑存在,從 Bitcoin 內部已有的規則建立,成本約為 GPU 運算的機票價格。
剩餘的工作是工程、採用和時間。對於持有 BTC 的人來說,行動項目很簡單:關注錢包提供商的後量子支援、避免重複使用地址,並在主流軟體中提供該選項時將資金轉移到抗量子地址。保護比特幣的工具正在建立中。
來源: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
